【Flutter】Dependabot を導入する

Dependabot について

依存しているライブラリに脆弱性があったら教えてくれたり、ライブラリのバージョンを修正したプルリクエストを作成してくれるボットです。

導入方法

プロジェクト配下の.githubディレクトリ内に、dependabot.yamlを作成する

$ touch .github/dependabot.yaml

dependabot.yamlを編集する

version: 2
# Pub がベータサポートなので必要
enable-beta-ecosystems: true
updates:
  - package-ecosystem: "pub"
    directory: "/"
    schedule:
      interval: "weekly"

編集したdependabot.yamlをリモートリポジトリにプッシュ

$ git push -u origin head

対象のリポジトリでInsightsを選択

Dependency graphを選択

Dependabotを選択

pubspec.yamlが監視対象となっていることが確認できます。

もし、依存関係で問題があればこの時点でプルリクエストが作成されるようになります。